HCL AppScan Standard是针对安全测试人员打造的一款实用工具，软件基于先进的扫描引擎，可以方便开发者快速找出程序的bug和漏洞，然后进行修复，软件支持测试Web应用程序、Web服务以及移动后端，新版本还优化增强了检测能力、DAST扫描引擎、DevOps工具等，有需要的用户欢迎下载。

安装教程

1、双击“Appscan_Setup_1002.exe”语言选择中文

2、点击确定出现协议，选择i accept

3、选择安装位置，默认为“C:\Program Files (x86)\HCL\AppScan Standard\”

4、接着点击install安装就可以了

5、接着替换一下破解补下就可以了

appscan10新功能

1、增量扫描

此新功能可识别应用程序中的更改，大大减少在重新扫描期间发送的测试次数，从而缩短了重新扫描过程的时间。选项有：仅测试应用程序的新增部分。

测试应用程序的新增部分，并重新测试先前发现问题的部分。在原始扫描中没有发现漏洞的测试不会在重新扫描时重新发送到站点的相同部分。

2、通过机器学习优化了基于操作的探索

使用机器学习提高了探索阶段的效率。可以预测可能引导至站点的已探索部分的操作，从而避免这些操作。

3、带外漏洞的 AppScan DNS

使用 AppScan DNS 解析，提升了对例如 OS 命令、SSRF 和 XXE 攻击等漏洞的检测能力，此类漏洞无法通过已测试的应用程序直接检测。

4、文档

改进了帮助文件格式，现在可以在缺省浏览器中直接打开。文档现在可提供英语、法语、日语、简体中文和繁体中文版本。

软件特色

1、动态分析(“黑盒扫描”)

这是主要方法，用于测试和评估运行时的应用程序响应。

2、静态分析(“白盒扫描”)

这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。

3、交互分析(“glass box 扫描”)

动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互，从而使AppScan10中文破解版能够比仅通过传统动态测试时识别更多问题并具有更高准确性。

4、AppScan10的高级功能包括：

常规和法规一致性报告，并提供超过 40 个不同的开箱即用模板

使用说明

工具栏-扫描配置

遇到的问题：公司新系统架构是前后端分离的，且前端代码在编译时设定了js大小超过1024就会自动压缩，压缩格式变成.js.gz，APPScan在扫描时识别不了.gz格式，所以Nginx在转发请求时报404(前提是Nginx已经配置了http_gzip_static_module插件,仍识别不了)

解决方法：前端开发打包编译时，不对大文件js进行压缩，再次扫描没问题了。

扫描配置：多步骤操作-打开浏览器操作，记录浏览器输入信息，存到自动表单提交